Scoprire che il proprio sito è stato compromesso è un'esperienza che nessun imprenditore vorrebbe vivere. Oltre al danno immediato (pagine modificate, redirect verso siti malevoli, dati esposti), l'impatto sulla SEO può essere devastante e prolungato. Sapere come reagire fa la differenza tra un recupero rapido e mesi di invisibilità.
Come Riconoscere un Sito Hackerato
Non tutti gli attacchi sono evidenti. Alcuni hacker preferiscono restare nascosti, iniettando contenuti spam visibili solo a Google o creando migliaia di pagine farmaceutiche o di gambling che l'utente normale non vede. Ecco i segnali più comuni:
Segnali visibili: Il sito mostra contenuti che non hai pubblicato, redirect automatici verso siti sospetti, pop-up aggressivi o pagine in lingue straniere. Il browser mostra avvisi di sicurezza ("Questo sito potrebbe essere stato compromesso").
Segnali nascosti: Un aumento improvviso di pagine indicizzate in Google Search Console, traffico anomalo da query spam (farmaci, casinò, contenuti per adulti), file sconosciuti sul server, nuovi utenti admin nel CMS. Google Search Console può inviare notifiche dirette di "problemi di sicurezza": controlla regolarmente.
Segnali SEO: Crollo improvviso del traffico organico, scomparsa di pagine dai risultati, comparsa dell'avviso "Questo sito potrebbe essere stato compromesso" sotto il tuo risultato in SERP.
L'Impatto sull'SEO
Quando Google rileva un sito compromesso, le conseguenze sono immediate e severe. Il sito può ricevere un'azione manuale nella sezione "Sicurezza" di Search Console, con conseguente rimozione parziale o totale dai risultati. Anche senza azione manuale, l'algoritmo degrada i siti che distribuiscono malware o spam.
I danni indiretti sono altrettanto gravi: i backlink accumulati nel tempo perdono efficacia se le pagine a cui puntano sono state modificate o reindirizzate. Gli utenti che incontrano avvisi di sicurezza perdono fiducia nel brand. Il crawl budget viene sprecato su migliaia di pagine spam create dall'attaccante.
Come Intervenire e Recuperare
Il recupero richiede un approccio sistematico in fasi precise:
Fase 1, Contenimento: Metti il sito in manutenzione per evitare ulteriori danni. Cambia tutte le password (hosting, CMS, database, FTP). Identifica il vettore di attacco: plugin vulnerabili, credenziali deboli, software non aggiornato.
Fase 2, Pulizia: Rimuovi tutto il codice malevolo, i file sospetti, gli utenti non autorizzati e le pagine spam. Se possibile, ripristina da un backup pulito precedente all'attacco. Aggiorna CMS, plugin e temi all'ultima versione.
Fase 3, Verifica e richiesta di revisione: In Google Search Console, nella sezione "Problemi di sicurezza", richiedi una revisione dopo aver completato la pulizia. Google impiega da pochi giorni a due settimane per verificare. Nel frattempo, controlla che tutte le pagine spam restituiscano errore 404 o 410.
Fase 4, Monitoraggio: Installa sistemi di monitoraggio continuo. Configura alert per modifiche ai file, accessi sospetti e variazioni anomale nel traffico. La recidiva è comune se non si risolve la vulnerabilità originale.
Prevenzione: Meglio che Curare
La prevenzione costa una frazione del recupero. Aggiornamenti regolari del CMS e dei plugin, password robuste con autenticazione a due fattori, backup automatici giornalieri, firewall applicativo (WAF) e monitoraggio attivo della sicurezza sono investimenti minimi rispetto al danno potenziale di un attacco riuscito.